Ситуация такая: Имеется сеть из 3-ех компов, работающих через хаб. Один из компов подключен к инету через диалап. Остальные получают доступ в интернет через 1-ый. Так вот на одном компе замечается такая вещь. Нехороший процесс SVCHOST на порту 2869 что-то усиленно пытается скачать из нета. При этом, такое может появиться при загрузке системы, а может и нет. Стоят Outpost 4 pro, Avira AntiVir Personal ed Classic. На шпионов проверял XoftSpySE 4.29, Ad-Aware SE Professional 1.06 и аутпостовским анти-шпионом. Что нашлось - удалил. Но даже после этого он изредко туда лезет. Система стоит XP pro SP2. Так же замечено, что процесс может появиться и после переустановки всей системы. Автообновление и прочие радости отключены. У кого какие предположения на счет этой проблемы?
svchost.exe это сервис для локальной сети хотя через него могут разные программы в инет лазить, попробуй выгружать по одной проге и смотреть что измениться.
svchost.exe - Generic Host Process for Win32 Services. Нужен для запуска различных системных сервисов. Значит какая-то служба пытается через него выйти в инет. тебе поможет команда tasklist /svc
а там инжекта нет случаем? аутпост не говорил ничего? >HTTPFilter HTTP SSL линк http://www.google.ru/search?hl=ru&q=%22HTTPFilter%22&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=
Когда проверяю обновления для Вынь svchost.exe хавает больше всего ресурсов. Обнови вынь и все пройдет.
W!z@rD нет, молчит, как партизан. Но, спустя пары часов экспериментов с выгрузкой программ, выяснилось, что запрос на удаленный порт 2869 идет при запуске FireFox, но не исчезает после его закрытия. При этом он может что-то качать, а может просто висеть на удаленном порту без всякой активности. EPIDEM если ты имеешь ввиду обновить XP, то на диалапе это будет лет 5-6
svchost.exe - Generic Host Process for Win32 Services приложение будет закрыто приносим извинения за неудобства Во-во-во, у меня Виндоуз ХР СП2 постоянно это писал каждые минут 5-7 эту ошибку выдавал, решил Home поставить, дня 2 все нормально было, а потом опять!!! Далее прикол! Поставил ВИСТУ, и даже на висте эта ошибка вылезала, только окошко выглядело подругому, а ошибка все таже! Доктор Веб определяет это файл в памяти или в С:\WINDOWS\svchost.exe как вирус win32! Что это за чудо?
Зелибоба Это Virus.Win32.Hidrag подробнее тут _http://www.viruslist.com/ru/viruses/encyclopedia?virusid=81289 настоящий адрес процесса c:\windows\system32\svchost.exe так что если в папке с:\windows валяется svchost.exe - это сразу наводит на нехорошую мысль, " а хрена ваще сдесь делает svchost?" также смотри(WINEVENT.EXE, alg.exe, MSBLAST.EXE, TEEKIDS.EXE, PENIS32.EXE) Noman Создай правило, запрещающее любую сетевую активность c теми адресами, которые вызывают у тебя подозрение и поищи в любых каталогах, кроме \system32, особенно в папке c:\windows выше перечисленные мною exe'шники или dll'ки
ch0Sen разумеется, расположение процесса я уточнял. Сейчас посмотрел остальные - таких тоже нет. Что касаемо правила, если я создаю такое правило на удаленный 2869, то у меня не открываются страницы в браузере, но только те, которые до этого не были открыты. По ним я могу свободно перемещаться, по другим нет. И данный процесс продолжает создаваться до бесконечности пока аутпост удаляет заблокированные.
Я имел ввиду правило для Исходящего направления на те удалённые адреса, к которым без твоего ведома идёт конект, а не блокироровку локального порта.
Продолжение веселья. Включаю комп, запускаю qip, потом The Bat, начинаю проверку почты - пишет невозможно соединиться с сервером, потом qip начинает писать "Ваш клиент отправляет пакеты слишком часто. Подождите пару минут или отправляйте сообщения помедленнее, иначе вы будете отключены от сервера." - хотя я с него не отправил ни одного сообщения. Отрубаю qip. Лезу в аутпост смотреть что куда лезет - опять исходящее SVCHOST но уже по UDP. Аутпост его блокирует, и как только The Bat пишет, что невозможна связь с сервером, процесс пропадает. Если включаю qip, то что-то опять же через svchost по UDP лезет на DNS удаленного компа. При этом ранее и qip и мыша у меня работали около года без проблем. Уже раз 5 проверился антивирем со свежими базами - толку чуть. Вообщем надо переходить на линукс =)
ch0Sen там и удаленного адреса нет. То бишь он c любого локального порта лезет на комп, где стоит модем, а именно на 2869 порт, то есть удаленный адрес имеет вид name.mshome.net